非托管人加密货币钱包ZenGo的开发商在竞争对手Ledger Live,BRD(以前称为Bread)和Edge的产品中揭示了双重支出的潜在漏洞。 在最坏的情况下,它可能会导致用户失去一切财力。 该漏洞称为BigSpender(spender),其特征在于,攻击者可以发送具有最低佣金的交易,然后立即将其替换为另一笔交易,从而通过“按费用收费”功能增加佣金。 因此,矿工会受到激励,最初会核实更有利可图的新交易并将资金重定向到另一个地址。
根据ZenGo的报告,版本2.7.0和4.3.1之前的Ledger Live和BRD钱包没有说明潜在的交易取消。 此外,他们只是在视觉上将额外的资金投入到用户的余额中,而无需等待确认。 在第一种情况下,问题是通过清除缓存并强制网络重新同步来解决的;在第二种情况下,这需要用户以及可能的外部工具的一些专业知识。 在Edge Wallet,对于一系列延迟的交易,余额仅增加一次-可以通过按下选项菜单中的“重新同步”按钮来解决。 ZenGo得出结论,BigSpender可能无法完全提取钱包中的资金,因为其中一些根本不存在。 在更严重的情况下,例如对钱包的故意双重DDoS攻击,其所有者将无法提取甚至很少的资金。
Ledger技术总监Charles Guillaume保证该漏洞与该公司的硬件钱包无关,并拒绝将其识别为漏洞:
ZenGo的代表在报告发布前90天通知了易受攻击的钱包的开发人员,但Edge Wallet仍未解决此漏洞,他们计划在将来修复此漏洞。 BRD表示,在与ZenGo交换信息期间从未成功证明过双重支出这一事实,但是,已经实施了必要的补丁程序。 BRD技术总监Samuel Satch认为,该攻击应被归类为“拒绝服务”,因为“由于用户钱包中最终付款金额的折衷,访问资产可能会受到几天的限制。” 回想一下,先前著名的比特币投资者Alistair Milne进行了一项实验,他试图了解有关钱包的多少数据足以破解它。 在Facebook上关注ForkLog! —- 原文链接:https://forklog.com/issledovateli-zengo-predupredili-o-potentsialnoj-uyazvimosti-v-koshelkah-ledger-live-brd-i-edge/ 原文作者:ForkLog 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
ZenGo研究人员警告称Ledger Live,BRD和Edge钱包可能存在漏洞
2020-07-02 wanbizu AI 来源:区块链网络
LOADING...
相关阅读:
- DeFi项目yEarn.Finance是否能带来丰厚的利润?2020-08-01
- 来自衍生品市场的乐观情绪可能会随着Ripple,以太坊经典,Uniswap,DeF2020-08-01
- 用行动为币乎打call,手把手教你如何把KEY转到MXC抹茶交易所2020-08-01
- MYKEY第一时间推出YAS工具助力币东兑换EIDOS(附兑换教程)2020-08-01
- 【有花堪折直须折】这9种免费赚KEY的方法请收好2020-08-01